Author: Diego Yanez

Adivinar contraseñas es lo mismo que hackear, ¿no?

--Originally published at Computer Security

Uno de los problemas de la seguridad, no sólo en el ámbito computacional, es que suele ser una inconveniencia para los usuarios finales. Las contraseñas son un perfecto ejemplo de esto. En la Web de hoy los usuarios se registran en un montón de sitios, sin contar correos y sitios requeridos por su trabajo, universidad a algún otro tipo de organización.



Las contraseñas son un fastidio para cualquiera, así que no debería ser sorprendente que la mayoría de personas usa contraseñas excesivamente débiles y que usan la misma contraseña para múltiples cuentas en diferentes servicios.

Contraseñas débiles son un problema de seguridad crítico en cualquier sistema computacional. Contraseñas demasiado cortas son susceptibles a ataques de fuerza bruta y contraseñas demasiado comunes son débiles a ataques de diccionario. No importa que tan seguro sea un sistema si la contraseña se puede adivinar fácilmente.

Otro problema común es el uso de contraseñas por default en dispositivos como puntos de acceso o cámaras IP. La gran mayoría de personas ni siquiera sabe como ingresar a la configuración de sus puntos de acceso de su red Wi-Fi del hogar, mucho menos que deberían cambiar la contraseña por default con la que vienen estos dispositivos. Estos dispositivos tienen contraseñas que son fácilmente encontradas con una simple búsqueda por modelo y fabricante.

Ahora pensemos en el ámbito laboral, en donde generalmente se tienen políticas sobre la fuerza que debería tener una contraseña de los usuarios de servicios corporativos como el correo electrónico. Una política que se imponga a los empleados de una empresa puede causar que los usuarios elijan contraseñas demasiado débiles que cumplan con las políticas de la empresa de manera mínima, y/o que las guarden en lugares inapropiados, cómo escritas
Continue reading "Adivinar contraseñas es lo mismo que hackear, ¿no?"

Hola WIFI me llamo SSID

--Originally published at Computer Security

La mayoría de los usuarios eligen el nombre de su red wifi sin pensarlo demasiado, únicamente lo eligen de forma que sea fácil para ellos recordarlo.
Mucha gente no sabe que el nombre de la red también conocido como Service Set Identifier o SSID expone un potencial riesgo de seguridad. Así que puede ser un riesgo el nombre de la red, pero algunos SSIDs son más seguros que otros, les daré a conocer los dos y don’ts cuando de seleccionas el SSID de tu red.
wifi security
Que es lo que hace el SSID tan importante te estarás preguntando. Los hackers necesitan obtener piezas de información incluyendo el SSID para romper el password de las redes WPA/WPA2. Ellos tienen tablas pre configuradas con esta información incluyendo nombres SSID comunes y los que están por default en los routers, por lo tanto, si estas utilizando algunos de estos nombres felicidades ya que has hecho el trabajo del hacker mucho más sencillo y tu red es un objetivo para ellos.
  • Do cambia el SSID de fábrica por otro nombre.
  • Don’t elijas un nombre del los más comunes SSIDs. Esta lista es bastante amplia y te darás cuenta de muchos nombres por default de dlink, Linksys, 2wire, netwear, etc. Así que asegúrate de cambiarlo.
  • Don’t utilices tu primer nombre o apellido, dirección, numero de teléfono o cualquier cosa personal. Difundir el nombre de la red identifica al dueño de la red y esto puede ayudar al hacker en crackear el su password.
  • Do se único al momento de seleccionar un SSID, pero demasiada creatividad puede generar mucha atención a los hackers. Con un máximo de 32 carácteres puedes tener amplia creatividad, pero también piensa en un nombre que sirva de camuflaje, para que el nombre de tu red no sobresalga de las redes cercanas.
  • Do Continue reading "Hola WIFI me llamo SSID"

Hola WIFI me llamo SSID

--Originally published at Computer Security

La mayoría de los usuarios eligen el nombre de su red wifi sin pensarlo demasiado, únicamente lo eligen de forma que sea fácil para ellos recordarlo.
Mucha gente no sabe que el nombre de la red también conocido como Service Set Identifier o SSID expone un potencial riesgo de seguridad. Así que puede ser un riesgo el nombre de la red, pero algunos SSIDs son más seguros que otros, les daré a conocer los dos y don’ts cuando de seleccionas el SSID de tu red.
wifi security
Que es lo que hace el SSID tan importante te estarás preguntando. Los hackers necesitan obtener piezas de información incluyendo el SSID para romper el password de las redes WPA/WPA2. Ellos tienen tablas pre configuradas con esta información incluyendo nombres SSID comunes y los que están por default en los routers, por lo tanto, si estas utilizando algunos de estos nombres felicidades ya que has hecho el trabajo del hacker mucho más sencillo y tu red es un objetivo para ellos.
  • Do cambia el SSID de fábrica por otro nombre.
  • Don’t elijas un nombre del los más comunes SSIDs. Esta lista es bastante amplia y te darás cuenta de muchos nombres por default de dlink, Linksys, 2wire, netwear, etc. Así que asegúrate de cambiarlo.
  • Don’t utilices tu primer nombre o apellido, dirección, numero de teléfono o cualquier cosa personal. Difundir el nombre de la red identifica al dueño de la red y esto puede ayudar al hacker en crackear el su password.
  • Do se único al momento de seleccionar un SSID, pero demasiada creatividad puede generar mucha atención a los hackers. Con un máximo de 32 carácteres puedes tener amplia creatividad, pero también piensa en un nombre que sirva de camuflaje, para que el nombre de tu red no sobresalga de las redes cercanas.
  • Do Continue reading "Hola WIFI me llamo SSID"

4084d7e2c0afcf393f8b22a436c706a5e619ad46… también conocido como criptografía

--Originally published at Computer Security

Uno de los principales elementos de la seguridad computacional es la criptografía, la cual precede a la computación por unos cuantos milenios.
Esencialmente, la criptografía se usa para asegurar comunicaciones para evitar que terceros no autorizados sean capaces de entender la información encriptada.
La criptografía moderna consta de varios elementos: funciones hash seguras, sal, llaves.

¿Qué es una función hash segura?
Una función hash toma elementos de un conjunto a otro. Es decir, tomamos un valor h y obtenemos su valor hash f(h). Para ser considerada segura, debe de ser difícil (en el sentido de costo computacional) encontrar h si tenemos f(h). Esto hace que la información “hasheada” sea muy difícil de descifrar por alguien no autorizado.
Aunque hay muchas funciones que antes se usaban, debilidades se han encontrado en muchas de ellas (ejemplo).
Incluso con una función de hash fuerte, esto todavía no protege contra ataques de diccionarios o tablas arcoíris. Esto nos lleva al siguiente aspecto.


Sal
Sal es un valor aleatorio que se agrega al hash para fortalecer la seguridad de esta misma. Esto ayuda contra los ataques previamente mencionados, asumiendo por supuesto que el valor es lo suficientemente aleatorio.

Con todo, surge la pregunta obvia ¿Cómo recuperamos la información una vez que está encriptada?


Llaves
Las llaves son lo que permite a los usuarios recuperar la información que esta encriptada. Existen varios modelos usados para lograr esto: llaves simétricas y asimétricas.
Llaves simétricas consisten en que aquellos que están autorizados para leer un mensaje encriptado tienen la misma llave para recuperar el mensaje. Esto tiene como principales complicaciones que la llave representa un riesgo en caso de pérdida o robo, ya que esto compromete todo el sistema de encriptación.

Con llaves asimétricas, cada usuario tiene 2 llaves, una llave pública distribuida y una llave privada que
Continue reading "4084d7e2c0afcf393f8b22a436c706a5e619ad46… también conocido como criptografía"

4084d7e2c0afcf393f8b22a436c706a5e619ad46… también conocido como criptografía

--Originally published at Computer Security

Uno de los principales elementos de la seguridad computacional es la criptografía, la cual precede a la computación por unos cuantos milenios.
Esencialmente, la criptografía se usa para asegurar comunicaciones para evitar que terceros no autorizados sean capaces de entender la información encriptada.
La criptografía moderna consta de varios elementos: funciones hash seguras, sal, llaves.

¿Qué es una función hash segura?
Una función hash toma elementos de un conjunto a otro. Es decir, tomamos un valor h y obtenemos su valor hash f(h). Para ser considerada segura, debe de ser difícil (en el sentido de costo computacional) encontrar h si tenemos f(h). Esto hace que la información “hasheada” sea muy difícil de descifrar por alguien no autorizado.
Aunque hay muchas funciones que antes se usaban, debilidades se han encontrado en muchas de ellas (ejemplo).
Incluso con una función de hash fuerte, esto todavía no protege contra ataques de diccionarios o tablas arcoíris. Esto nos lleva al siguiente aspecto.


Sal
Sal es un valor aleatorio que se agrega al hash para fortalecer la seguridad de esta misma. Esto ayuda contra los ataques previamente mencionados, asumiendo por supuesto que el valor es lo suficientemente aleatorio.

Con todo, surge la pregunta obvia ¿Cómo recuperamos la información una vez que está encriptada?


Llaves
Las llaves son lo que permite a los usuarios recuperar la información que esta encriptada. Existen varios modelos usados para lograr esto: llaves simétricas y asimétricas.
Llaves simétricas consisten en que aquellos que están autorizados para leer un mensaje encriptado tienen la misma llave para recuperar el mensaje. Esto tiene como principales complicaciones que la llave representa un riesgo en caso de pérdida o robo, ya que esto compromete todo el sistema de encriptación.

Con llaves asimétricas, cada usuario tiene 2 llaves, una llave pública distribuida y una llave privada que
Continue reading "4084d7e2c0afcf393f8b22a436c706a5e619ad46… también conocido como criptografía"

La Trifuerza de la seguridad

--Originally published at Computer Security

Todo sistema que quiera considerarse seguro debe cumplir con tres aspectos fundamentales: confidencialidad, integridad y disponibilidad. Estos aspectos se relacionan para mantener un sistema funcional y proteger la información.
Confidencialidad
Consiste en la garantía de que la información que se proporciona al sistema, no pueda ser accedida por personas no autorizadas ni será divulgada.
Un ejemplo en el que este aspecto falló fue la filtración del padrón electoral del INE el pasado mes de abril. Esta información terminó siendo subastada en Amazon, revelando información confidencial como nombres, apellidos, domicilios, etc. de más de 93 millones de mexicanos.

Padrón del INE en Amazon
Integridad

Es el principio que se encarga de que la información en el sistema sea correcta y válida y que no pueda ser modificada por alguien no autorizado.
Un ejemplo con consecuencias financieras graves, fue un hack de bancos en Bangladesh, Sri Lanka, Filipinas, con daños de $951 millones de dólares. El hack consistió en explotar una debilidad en SWIFT, en donde la base de datos fue comprometida.


Disponibilidad

Consiste en que la información y los recursos relacionados estén disponible para los usuarios autorizados cuando lo requieran, incluso en momentos de emergencia o alto tráfico.
La caída del servicio de PlayStation Network en 2011 debido a una vulnerabilidad es un claro ejemplo de este principio debido a que ningún usuario podía acceder al servicio.



Realizado en colaboración con Guazaman, Marysol y Camendoz.

La Trifuerza de la seguridad

--Originally published at Computer Security

Todo sistema que quiera considerarse seguro debe cumplir con tres aspectos fundamentales: confidencialidad, integridad y disponibilidad. Estos aspectos se relacionan para mantener un sistema funcional y proteger la información.
Confidencialidad
Consiste en la garantía de que la información que se proporciona al sistema, no pueda ser accedida por personas no autorizadas ni será divulgada.
Un ejemplo en el que este aspecto falló fue la filtración del padrón electoral del INE el pasado mes de abril. Esta información terminó siendo subastada en Amazon, revelando información confidencial como nombres, apellidos, domicilios, etc. de más de 93 millones de mexicanos.

Padrón del INE en Amazon
Integridad

Es el principio que se encarga de que la información en el sistema sea correcta y válida y que no pueda ser modificada por alguien no autorizado.
Un ejemplo con consecuencias financieras graves, fue un hack de bancos en Bangladesh, Sri Lanka, Filipinas, con daños de $951 millones de dólares. El hack consistió en explotar una debilidad en SWIFT, en donde la base de datos fue comprometida.


Disponibilidad

Consiste en que la información y los recursos relacionados estén disponible para los usuarios autorizados cuando lo requieran, incluso en momentos de emergencia o alto tráfico.
La caída del servicio de PlayStation Network en 2011 debido a una vulnerabilidad es un claro ejemplo de este principio debido a que ningún usuario podía acceder al servicio.



Realizado en colaboración con Guazaman, Marysol y Camendoz.